PyPI bersagli di un attacco malware: registrazioni sospese per ripulire la piattaforma

PyPI bersagli di un attacco malware: registrazioni sospese per ripulire la piattaforma

L'episodio serve da monito agli sviluppatori che utilizzano componenti open source nei loro progetti: fondamentale verificare l'autenticità del codice scaricato

di pubblicata il , alle 12:21 nel canale Sicurezza
 

Python Package Index (PyPI), il repository centrale per i pacchetti software Python, ha dovuto sospendere temporaneamente la registrazione di nuovi utenti e la creazione di nuovi progetti con l'obiettivo di contrastare una massiccia campagna malware in atto che stava prendendo di mira la piattaforma.

PyPI, ospitando migliaia di pacchetti Python, rappresenta un bersaglio particolarmente appetibile e appetitoso per i criminali informatici: la pratica più comune adottata dagli hacker è quella di caricare pacchetti falsi o con nomi simili a quelli legittimi allo scopo di diffondere codice compromesso e assicurarsi così la possibilità di avere a disposizione vulnerabilità da sfruttare in attacchi successivi.

Negli ultimi giorni si è verificata un'impennata di questo genere di attività che, come detto, ha costretto, gli amministratori di PyPI a sospendere nel corso della giornata di ieri le nuove registrazioni degli utenti per permettere di mitigare le attività malevole in corso.

Checkmarx, una società che si occupa di sicurezza informatica, ha rilasciato un rapporto secondo il quale gli attori di minaccia hanno iniziato a caricare su PyPI, a partire dal 27 marzo, 365 pacchetti dai nomi molto simili a quelli di progetti legittimi. In questi pacchetti è presente codice dannoso nel file "setup.py", che è quello che viene eseguito nella fase di installazione, che tenta di recuperare ulteriore codice dannoso connettendosi ad un server remoto.

Gli aggressori hanno inoltre architettato un sistema per eludere il rilevamento, crittografando il codice dannoso con il modulo Fernet e facendo sì che l'indirizzo del server remoto venisse costruito in maniera dinamica solo al momento dell'utilizzo. Il codice recuperato dal server si assembla poi in un sofisticato infostealer dotato di capacità di persistenza e che prende di mira informazioni archiviate nei browser web, come password di accesso, cookie di sessioni ed estensioni per criptovalute.

Nel rapporto compilato da Checkmarx si trova l'elenco completo dei pacchetti dannosi, che sono oltre 500 e distribuiti in due momenti distinti. Ciascuno di essi, contenente il medesimo codice, è stato caricato da account unici con nomi ed e-mail distinti, fattore che indica l'uso di strumenti di automazione nell'organizzazione della campagna.

PyPI ha già adottato lo scorso anno, nel mese di maggio, misure drastiche identiche a quelle intraprese in questi giorni per salvaguardare il pubblico da attività dannose. Entrambi gli episodi sottolineano quanto sia fondamentale per gli sviluppatori verificare scrupolosamente l'autenticità e l'affidabilità dei componenti open source che utilizzano nei loro progetti.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
LMCH29 Marzo 2024, 17:41 #1
Oltre a questo, non aiuta che copilot ed altri strumenti basati su LLM spesso "allucinano" nomi di moduli e librerie simili a quelli "reali" che si dovrebbero usare.
Così c'è chi crea e registra software per npm, PyPI, ecc. usando i nomi "allucinati" e che funzionalmente sono una copia di quelli reali ma con l'aggiunta di malware.

Come avevo profetizzato gli attuali sistemi basati su LLM fanno disastri quando usati da gente che li scambia per oracoli e/o non ha chiare le nuove superfici di attacco che rendono accessibili anche ai blackhat wannabe.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^